Contrôler l'accès aux fichiers

Cette protection permet de contrôler les accès aux fichiers réalisés par des applications données. Les fichiers sont identifiés dans les règles par un chemin, un flux de données alternatif, un propriétaire et/ou un type de volume.

EXEMPLE
Vous pouvez protéger tous vos fichiers Microsoft Office et autres fichiers sensibles afin qu'ils puissent être modifiés uniquement par des applications légitimes comme l'explorateur Windows, la suite Office, les outils Windows, etc. Les autres applications n'auront accès à ces fichiers qu'en lecture seule.

Vous devez au préalable avoir créé un identifiant d'applications pour les applications autorisées à accéder aux fichiers et pour celles que vous souhaitez bloquer. Pour plus d'informations, reportez-vous à la section Créer des identifiants d'applications.

  1. Choisissez le menu Sécurité > Politiques et cliquez sur votre politique.
  2. Sélectionnez un jeu de règles.
  3. Cliquez sur l'onglet Ressources ACL > Fichier.
  4. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
  5. Cliquez sur Ajouter > Règle (Fichiers).
    Une nouvelle ligne s'affiche.
  6. Dans la zone de gauche, cliquez sur l'icône pour afficher la fenêtre de création de l'identifiant du ou des fichiers pour lesquels vous souhaitez contrôler l'accès.
    - Et/ou -
    Cliquez sur l'icône pour afficher la fenêtre de création de l'identifiant du ou des fichiers que vous souhaitez exclure du contrôle d'accès.
  7. Saisissez le nom de l'identifiant.
  8. Saisissez un chemin de fichier, une extension de fichier ou bien un fichier. Ce champ peut contenir les caractères génériques "?" et "*".
    Les chemins complets commençant par une lettre (i.e., E:\Data\Backup) ne sont pas supportés si le Type de volume est distant ou amovible.
    Stormshield recommande fortement l'utilisation des racines de chemins EsaRoots fournies par SES Evolution à la place des lettres de lecteurs (i.e., C:\...). En effet, ces lettres peuvent différer d'un poste de travail à l'autre.

    NOTE
    Vous pouvez saisir un chemin comprenant une lettre de lecteur local (disque dur, SSD) dans ce champ. Cependant, si un utilisateur modifie la lettre d'un lecteur ou en ajoute un, vous devez redémarrer le poste ou modifier la politique appliquée par l'agent pour que le lecteur soit détecté.

  9. Choisissez le type de volume sur lequel se trouve le fichier ou le type de fichier.
  10. Dans les paramètres avancés, vous avez la possibilité de préciser le compte Windows propriétaire des fichiers, à condition que ceux-ci soient situés sur un volume local. Vous pouvez également entrer directement un identifiant de sécurité (SID) pour indiquer un compte Windows personnel. Cette option permet d'autoriser ou de bloquer l'accès à des fichiers détenus par certains comptes.
  11. Vous avez également la possibilité de spécifier un flux de données alternatif. Le flux de données alternatif (Alternate Data Stream) d'un fichier contient des métadonnées et permet entre autres de connaître la provenance du fichier. Par exemple, spécifier le flux de données alternatif "zone.identifier" permet d'établir des règles pour les fichiers provenant d'Internet. Le flux de données alternatif pourrait également être un vecteur d'attaque en abritant du code malveillant. Ce champ peut contenir les caractères génériques "?" et "*".
  12. Cliquez sur Valider pour fermer la fenêtre de création de l'identifiant. Vous pouvez survoler le nom de l'identifiant pour afficher le récapitulatif des paramètres.
  13. Dans la zone Comportement par défaut, choisissez un comportement  parmi ceux disponibles pour ce type de règles : :
    • Autoriser pour autoriser par défaut l'action,
    • Bloquer pour bloquer par défaut l'action,
    • Bloquer et interrompre pour bloquer par défaut l'action et arrêter le processus à l'origine de l'action.
    • Bloquer, interrompre et mettre en quarantaine pour bloquer par défaut l'action, arrêter le processus à l'origine de l'action, et mettre en quarantaine les fichiers suspects. Pour plus d'informations, reportez-vous à la section Gérer la mise en quarantaine de fichiers.
    • Demander pour que l'utilisateur soit consulté.
    • Ne pas évaluer le comportement pour ignorer la sous-règle si le comportement est détecté et passer au comportement suivant.
    • Ne pas évaluer la règle pour ignorer la règle contenue dans ce jeu de règles et évaluer la règle suivante.
    • Ne pas évaluer le groupe de règles pour ignorer les règles contenues dans le groupe de règles et évaluer le groupe de règles ou la règle suivants.
    • Ne pas évaluer le jeu de règles pour ignorer toutes les règles contenues dans ce jeu de règles et évaluer le jeu de règles suivant.
  14. Cliquez sur l'icône + Ajouter un comportement spécifique et choisissez la ou les ressources à exclure du comportement par défaut. Pour chaque cas, sélectionnez le comportement.

EXEMPLE
Bloquez par défaut la modification ou suppression de fichiers Office et autres fichiers sensibles. Autorisez ces actions uniquement pour les applications légitimes.
Exemple de règle d'accès aux fichiers

  1. Dans le bandeau supérieur de la règle, vous pouvez :
    • Si besoin, réagencer l'ordre des règles en cliquant sur icône pour réordonner les règles au survol de la règle. Chaque règle affiche dans le bandeau son numéro de rang.
    • Désactiver la règle. Pour plus d'informations, reportez-vous à la section Désactiver une règle de sécurité.
    • Indiquer l'intention de la règle, selon des catégories pré-définies :
      liste déroulante Intention de la règle

      • Unclassified : règle non classifiée.

      • Nominal : règle passante se conformant au comportement nominal des applications.

      • Protect : règle bloquante avec un niveau de gravité élevé du log.

      • Protect silent : règle bloquante avec un niveau de gravité en dessous des seuils de logs affichés par défaut sur l'agent et sur la console. Permet de protéger des accès à des ressources estimées sensibles, même s'ils sont effectués par des programmes sans intention malveillante. Ces programmes pouvant être nombreux, une règle avec une gravité de logs trop élevée pourrait déclencher une génération massive de logs.

      • Detect : règle d'audit ou règle passive, sans blocage.

      • Context : règle participant à la construction d'un graphe d'attaque.

      • Syslog : règle déclenchant des logs exclusivement envoyés à un serveur Syslog.

      • Watch : règle permettant de surveiller des comportements afin d'affiner la politique de sécurité ou de mieux connaître les événements techniques se produisant sur le parc.

      La sélection d'une de ces catégories n'a pas d'influence sur le paramétrage de la règle. Elles permettent simplement à l'administrateur de classifier ses règles de sécurité selon leur objectif et de les trier en utilisant le filtre dédié Intention de la règle. L'intention de la règle est également affichée dans les détails des logs.
    • Saisir une description pour expliquer l'objectif de la règle.
    • Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
      Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Tester une politique de sécurité.
    • Indiquer si la règle doit générer un contexte lorsqu'elle s'applique. Par défaut, si la règle émet des logs de niveau Urgence ou Alerte, elle génère un contexte, mais vous pouvez désactiver cette fonctionnalité. En cas de génération massive de logs similaires, le contexte n'est pas généré. Pour plus d'informations sur la génération massive de logs, reportez-vous à la section Surveiller l'activité des agents SES Evolution .
    • Ajouter un commentaire.
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'un script soit exécuté et/ou qu'une analyse Yara ou IoC soit déclenchée. Vous pouvez également demander qu'une notification soit affichée sur l'agent, à condition qu'elle soit associée à un log bloquant et de niveau Alerte ou Urgence.
    • Supprimer la règle.
  2. Dépliez la partie Classification dans les logs pour indiquer l'intention de l'attaque soupçonnée lorsque la règle s'applique et les tags permettant d'associer la règle au référentiel de MITRE. Ces informations sont ensuite visibles dans les logs générés par la règle. Pour plus d'informations, reportez-vous à la section Classifier les attaques selon le référentiel de MITRE.
  3. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.